《集团公司信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《集团公司信息安全管理制度.docx(21页珍藏版)》请在第一文库网上搜索。
1、集团公司信息安全管理制度第一章总则第一条为规范集团计算机信息系统的管理,保护集团计算机信息系统的安全,维护计算机信息系统的公共秩序,保障正常办公、业务活动的顺利进行、保障信息交流的健康有序。根据中华人民共和国网络安全法、中华人民共和国数据安全法、XX集团数字化管理制度结合实际情况制定本规定。第二条本规定适用于XX集团、各利润中心及下属分支机构,适用于集团主干网络、计算机信息系统以及接入主干网络的利润中心、下属公司计算机信息子系统的管理控制。第三条数字化管理中心负责集团整体的信息安全管理工作,统一规划、建设适用于全集团的信息安全管理体系。负责集团主干网络、计算机信息系统的管理维护和安全保障。第四
2、条下属各分支机构在数字化管理中心的统一要求和管理下,负责本单位信息安全体系的建设和日常管理。根据集团要求和自身发展需要,按需配备本单位计算机管理员,或由数字化管理中心设置派驻机构专职负责该单位,各分支机构负责本单位接入主干网络的计算机信息子系统的管理维护工作,并严格按照集团数字化管理中心的要求进行计算机信息系统的规划和配置。第五条集团信息安全管理体系应包括人员组织、制度流程及技术手段,制度流程必须符合国家相关法律法规、监管机构的要求以及行业特性。第六条数字化管理中心应设置专门的信息安全管理岗位,专职推动集团信息安全的建设和管理工作。第七条数字化管理中心每年应进行信息安全风险评估工作,评估威胁信
3、息资产安全的各种风险因素及可能带来的损失,同时应建立重特大风险的识别、防范和控制机制。第八条数字化管理中心应采取有效的信息安全事件管理机制,明确所有员工在信息安全管理体系中的角色和责任,并制定相应的信息安全事件处理流程,包括:信息安全事件预警、信息安全事件通报、信息安全事件调查、信息安全事件处理和信息安全事件总结等机制。第九条数字化管理中心应基于数字化产品的影响程度、重要性以及数据资料的敏感程度进行保护等级划分,并制定相对应的安全保护策略;对业务运营影响程度大、数据重要的系统应采取相对应的安全保护措施,并定期进行演练,确保业务的持续性运作。第十条数字化管理中心及各利润中心、下属公司应当采取必要
4、的措施和投入以保证重要系统设备及数据中心的高可用性,消除单点故障隐患,以保障业务安全、稳定、高效、持续运行。第十一条集团每一个员工都有保护公司信息安全的责任与义务。数字化管理中心应协同人力行政部及各利润中心、下属公司规范员工入职、换岗、离职时与信息安全相关的要求,加强信息安全的培训和教育,对于涉密岗位应签订信息安全和保密责任书。第十二条数字化管理中心应当为公司员工提供必要的信息安全技术防护手段和工具,并定期进行安全更新,以保证整体的保密性、完整性、可用性。第十三条数字化管理中心应定期对信息安全管理体系内容进行审核、改进和调整,以保证信息安全管理体系建设与业务需求的紧密关联性及体系的持续完善性。
5、同时应当不定期对各利润中心、下属公司信息安全管理工作进行抽检、评估。第十四条任何员工在开展业务时,必须使用数字化管理中心所提供的、公司统一的邮件服务。不论通过何种渠道、工具或介质对外批量输出敏感数据时,都必须提前取得相关负责人的授权。第十五条数字化管理中心应当对敏感数据采取适当的加密或防泄漏措施;任何员工在网络远端访问本利润中心、下属公司内部信息资源时,应通过加密、可靠的通道进行接入。第十六条任何员工不得在任何计算机内安装、使用非授权的软件系统,任何人若违规使用非授权软件、设备或泄露敏感数据,导致公司遭受重大经济损失、受到国家监管部门的处罚、被客户投诉或者引发重大舆情事件,将按照公司相关制度进
6、行处罚,违反国家法律的将同步移交公安机关处置。第二章计算机系统日常使用安全管理一、信息设备管理第十七条数字化管理中心负责集团数据中心的统一规划、建设、管理,并制定适用于集团总部、门店、DC、前置仓等经营管理场所的IT设备标准。第十八条各利润中心、下属公司在部署本单位的硬件、软件、桌面设备时,必须优先采用数字化管理中心统一采购目录内的产品,如有特殊需求,应当与数字化管理中心充分沟通后采用数字化管理中心推荐的产品品牌、型号及配置,提高设备类型的标准化,降低集成和运维的复杂度。任何利润中心、下属公司、部门,如果自行引进、安装未经数字化管理中心测试认证的设备,由此引发的任何系统问题,数字化管理中心将不
7、承担任何责任。第十九条数字化管理中心有权要求各利润中心、下属公司及时更新汰换陈旧、落后或有安全风险的IT设备,以确保数字化平台工具安全、高效、稳健运行。第二十条公司所有人员应保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。第二十一条严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。严禁任何人私自拆卸信息设备硬件,私自更改计算机配置、网络IP地址,安装未经批准的三方软件。设备使用人不得直接向供货商提出信息设备及其他相关设备维修、软件维护的要求,否则,发生的费用和其它问题自行承担。设备使用人负责所属信息设备的
8、日常维护。其中包括常用软件的安装升级,一般性配置操作、一般性故障排除。如果涉及到更换零件、安装系统等非一般性故障,无法自行处理的,应及时向数字化管理中心指定的系统中登记报障信息,接障人员应记录故障设备信息及故障处理情况,并在处理完毕后由故障申报人在指定的系统中验收确认。第二十二条下班后所有不再使用的计算机,应关闭主机电源,以防止意外,对于共同使用的计算机,原则上由最后一个退出系统的使用人员关机,并关闭电源。外人未经公司领导批准不得操作公司计算机设备。第二十三条属于更换部分零部件也不能解决的故障,需更换整机或大型配件的,在经过数字化管理中心运维服务组人员确认后,由设备资产归属部门写物品申购单(办
9、公IT设备)单,经批准采购后更换。二、文档数据安全管理第二十四条全体员工都应该对自己所接触到的公司商业敏感信息、员工供应商/客户/会员/用户等隐私信息进行保密。第二十五条数字化管理中心原则上应该关闭各应用系统中批量导出公司合同信息、进售价信息、销售信息、会员信息、财务报表等敏感信息的功能。如因确实因为系统支撑能力不足导致需要开放的,应该通过OA流程申请并获得相关的授权。第二十六条数字化管理中心应该在具备能力的系统中开启水印功能。第二十七条外接存储设备安全管理,严禁所有人员以个人介质光盘、U盘、移动硬盘等存储设备拷贝公司的文件资料并带出公司。若因出差等原因需要拷贝文件资料到存储设备中,需要向上级
10、请示此行为,并以公司存储设备做文件拷贝。为确保硬盘的安全,严禁任何人私自拆开电脑机箱。第二十八条文件的存储安全管理,所有部门人员应每周清理计算机中的文件,清除不需要的垃圾文件,将重要的文件和工作资料保存在特定的文件夹里,每月末应将电脑中的文件资料做一次备份,将文件资料备份到部门专用移动硬盘或公司私有云盘上,确保个人工作资料的文件归档,在电脑突发性故障或硬盘损坏时,能够及时恢复最近的工作资料;电脑桌面上的文件应每周末拷贝到非系统盘符中或不要在桌面存放任何工作性文件资料。若因个人原因未执行备份,造成数据资料丢失时,将由本人承担相关后果。若员工离职,在办完离职手续后,所在部门负责人应将此员工工作资料
11、拷贝到部门移动硬盘或公司私有云盘上,若没有执行此安全过程,离职员工损失的文件资料由该部门承担。第二十九条文件共享应通过公司设立文件共享服务器或企业微信微盘进行共享。第三十条禁止在微信端与内外部人员传递、交换敏感或涉密信息,如确实因工作需要,可以通过企业微信、公司邮箱进行有限范围的沟通。三、帐号权限安全管理第三十一条应用系统权限申请,用户需要在OA填写系统权限申请/变更流程,流程批复后分配帐号密码。第三十二条使用者须妥善保管好自己的帐户和密码,严防被窃取而导致泄密。帐户及密码由网络管理员设置后通知员工。所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。为了保护公司的信息资产,设置密码时应
12、注意:密码至少有8个字符长;密码必须包含以下任一部分:字母A-Z或a-z,数字0-9,特殊字符,例如$、-等。第三十三条应用系统密码管理:ERP等业务应用系统,用户可以更改自己的系统密码,密码尽可能设置为高安全性的复杂密码,严禁用户将密码设置为如123456等傻瓜式密码。密码设置过于简单,被其他用户非法登陆;严禁将ERP帐号或OA帐号密码透露给他人,让他人代己做ERP单据或办理OA流程;若因以上原因造成的信息安全后果将由本人承担。第三十四条POS权限卡管理:用户需要在OA填写系统权限申请/变更流程,用于打折、删除、取消交易等非正常操作使用。POS权限卡配备:门店店长/经理/服务主管岗位、生活超
13、市一张备用卡、大店两张备用卡以及每店一张折扣卡,备用卡由店长指定人员负责保管、折扣卡由财务保管,门店店长/经理/服务主管岗位实名办理,由持卡人负责保管,严禁将权限卡给他人使用。第三十五条超出标准的权限申请、变更、取消管理:如各岗位因工作需要,需永久使用权限分配表规定的本岗位权限之外的权限,需提出OA申请,按信息系统、设备超权限使用申请流程报批。数字化管理中心系统管理员负责依据批准的权限申请在系统中设置临时权限,并固化到权限表中。第三十六条员工调离岗位或离职,相关流程应该流转到数字化管理中心运维组,由运维组负责调整或关闭员工的系统权限。四、日常工作信息安全第三十七条员工应对在自己公司电脑内公司机
14、密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。第三十八条员工有责任正确地保护分配给本人的所有计算机帐户。第三十九条各部门经理及人事部应及时向数字化管理中心提供本部门及公司员工的人事及职位变动信息。第四十条不得安装有可能危及公司计算机网络的任何软件,若实在有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。第四十一条任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。第四十二条未经系统管理员许可,不得从因特网上下载任何软件安装,系统管理员将不定期检查。第四十三条严禁在工作时间利用计算机网络从事与本职工作无关的活动。第四十四条日常
15、信息安全工作做到“三不三要”1、不上钩:标题吸引人的未知邮件不要点开2、不打开:不随便打开电子邮件附件3、不点击:不随意点击电子邮件中附带网址4、要备份:重要资料要备份5、要确认:开启电子邮件前确认发件人可信6、要更新:系统补丁/安全软件病毒库保持实时更新第三章计算机信息系统安全管理一、网络安全管理第四十五条数字化管理中心负责集团网络架构、标准的统一规划,负责集团主干网的建设,各利润中心、下属公司子网必须按要求接入集团主干网,实现与集团及各利润中心、下属公司、门店的互联互通;并设置专职人员进行日常维护、管理工作。第四十六条数字化管理中心对集团所需的互联网资源进行统一管理、统一配置。各利润中心、
16、下属公司需要注册互联网域名或使用公网IP地址时,必须提前向数字化管理中心申请,注册完后再报数字化管理中心备案;使用过程中如有变动,须及时向数字化管理中心报备。第四十七条数字化管理中心根据集团业务情况制定网络访问控制策略,应合理设置网络隔离设施上的访问控制列表,关闭与业务无关的端口;编制文档并保持更新;访问控制策略的变更应履行审批手续。第四十八条网络安全管理员应绘制网络拓扑图,并保持更新。应对网络信息点进行管理,编制信息点使用表,并及时维护和更新,确保与实际情况一致。计算机网络跳线应整齐干净,跳线标识清晰。第四十九条数字化管理中心应保持网络设备的可用性,及时维修、更换故障设备;应负责网络系统的参数配置、调优;应定期对系统容量进行检查和评估;应定期检查网络设备的用户、口令及权限设置的正确性;应定期对整个